教程:发现和保护组织中的敏感信息
理想情况下,所有员工都了解信息保护的重要性并按策略工作。 在现实世界中,经常使用会计信息的忙碌合作伙伴可能会无意中将敏感文档上传到具有不正确权限的 Box 存储库。 一周后,你会发现企业机密信息已经泄露给了竞争对手。
为了帮助你防止这种情况发生,Microsoft Defender for Cloud Apps 提供了一套广泛的 DLP 功能,涵盖了组织中存在的各种数据泄露点。
本教程介绍如何使用 Defender for Cloud Apps 发现可能公开的敏感数据并应用控件以防止其泄露:
如何发现和保护组织中的敏感信息
我们的信息保护方法可以分为以下阶段,使你能够在整个生命周期内,保护分布在多个位置和设备上的数据。
阶段 1:发现数据
连接应用:若要发现哪些数据正在组织中使用,第一步是将在组织中使用的云应用连接到 Defender for Cloud Apps。 连接后,Defender for Cloud Apps 就可以扫描数据、添加分类,并强制执行策略和控制。 应用的连接方式会影响扫描和控制的应用方式和时间。 可以通过以下方式之一连接应用:
使用应用连接器:Microsoft 应用连接器使用应用提供商提供的 API。 它们让用户能够更深入地了解和控制在组织中使用的应用。 它们会定期执行扫描(每 12 小时)和实时执行扫描(每次检测到更改时触发)。 有关如何添加应用的详细信息和说明,请参阅连接应用。
使用条件访问应用控制:我们的条件访问应用控制解决方案采用与 Microsoft Entra 条件访问进行特别集成的反向代理体系结构,并允许将控件应用于任意应用。
Microsoft Edge 用户受益于直接的浏览器内保护。 条件访问应用控制使用反向代理架构应用于其他浏览器。 有关详细信息,请参阅 使用 Microsoft Defender for Cloud Apps 条件访问应用控制保护应用和使用 Microsoft Edge for Business(预览版)进行浏览器内保护。
调查:使用 API 连接器将应用连接到 Defender for Cloud Apps 后,Defender for Cloud Apps 会扫描它使用的所有文件。 在 Microsoft Defender 门户的“云应用”下,转到“文件”,大致了解云应用共享的文件、辅助功能及其状态。 有关详细信息,请参阅调查文件。
阶段 2:对敏感信息进行分类
定义哪些信息是敏感信息:在文件中查找敏感信息之前,首先需要定义哪些信息对你的组织而言属于敏感信息。 作为数据分类服务的一部分,我们提供超过 100 种现成的敏感信息类型,你也可以创建自己的适合公司的策略。 Defender for Cloud Apps 与 Microsoft Purview 信息保护原生集成,并且这两种服务中提供相同的敏感类型和标签。 因此,如果要定义敏感信息,请前往 Microsoft Purview 信息保护门户创建它们,定义之后,它们即可在 Defender for Cloud Apps 中使用。 还可以使用高级分类类型,例如指纹或精确数据匹配 (EDM)。
对于已经识别了敏感信息并应用了相应敏感度标签的用户,可以在策略中使用这些标签,而无需再次扫描内容。
启用 Microsoft Purview 信息保护集成
- 在 Microsoft Defender 门户中,选择“设置”。 然后选择“云应用”。
- 在信息保护下,转到 Microsoft 信息保护。 选择“自动扫描 Microsoft 信息保护敏感度标签和内容检查警告”的新文件。
有关详细信息,请参阅 Microsoft Purview 信息保护集成。
创建策略以识别文件中的敏感信息:一旦知道要保护的信息的类型,就可以创建策略来检测它们。 首先创建以下策略。
文件策略
使用这种类型的策略,扫描存储在 API 连接的云应用中的文件的内容,包括准实时数据和静态数据。 使用我们支持的检测方法之一(包括 Microsoft Purview 信息保护加密内容)来扫描文件,这要归功于它与 Defender for Cloud Apps 的本机集成。在 Microsoft Defender 门户的“云应用”下,选择“策略”->“策略管理”。
选择“创建策略”,然后选择“文件策略”。
在“检查方法”下,选择并配置以下分类服务之一:
- 数据分类服务:使用你在 Microsoft 365、Microsoft Purview 信息保护 和 Defender for Cloud Apps 中做出的分类判定,提供统一的标签体验。 这是首选的内容检查方法,因为它可在各种 Microsoft 产品中提供一致的统一体验。
对于高度敏感的文件,请选择“为每个匹配文件创建警报”并选择所需的警报,这样当组织中的文件包含未受保护的敏感信息时,你可以收到通知。
选择创建。
会话策略
使用此类型的策略,在访问时实时扫描和保护文件:- 防止数据外泄:例如,阻止在非管理的设备上下载、剪切、复制和打印敏感文档
- 在下载时保护文件:要求使用 Microsoft Purview 信息保护来标记和保护文档。 此操作可确保文档受到保护,并在有潜在风险的会话中限制用户访问。
- 阻止上传不带标签的文件:在其他人上传、分发和使用敏感文件之前,要求文件必须带有适当的标签,并且受到保护。 在用户对内容进行分类之前,通过此操作,可确保阻止上传包含敏感内容的不带标签的文件。
在 Microsoft Defender 门户的“云应用”下,选择“策略->“策略管理”。
选择“创建策略”,然后选择“会话策略”。
在“会话控件类型”下,选择 DLP 选项之一。
在“检查方法”下,选择并配置以下分类服务之一:
对于高度敏感的文件,请选择“创建警报”并选择所需的警报,这样当组织中的文件包含未受保护的敏感信息时,你可以收到通知。
选择创建。
应该根据需要创建任意数量的策略,根据公司政策来检查敏感数据。
阶段 3:保护数据
现在可以检查包含敏感信息的文件,但你真正要做的是保护这些信息免受潜在威胁。 发现事件之后,可以手动进行修正,也可以使用 Defender for Cloud Apps 提供的自动治理操作之一来保护文件。 这些操作包括但不限于 Microsoft Purview 信息保护本机控制、API 提供的操作、实时监视。 可以应用的治理类型取决于要配置的策略类型,如下所示:
文件策略治理操作:使用云应用提供商的 API 和本机集成来保护文件,包括:
- 触发警报并发送有关事件的电子邮件通知
- 管理应用于文件的标签,强制实施本机 Microsoft Purview 信息保护控制
- 更改对文件的共享访问权限
- 隔离文件
- 在 Microsoft 365 中删除特定文件或文件夹权限
- 将文件移至“回收站”文件夹
会话策略控制:使用反向代理功能来保护文件,例如:
- 触发警报并发送有关事件的电子邮件通知
- 显式允许下载或上传文件,并监视所有相关活动。
- 显式阻止下载或上传文件。 使用此选项可保护组织的敏感文件免受任何设备(包括非管理的设备)的外泄或渗透。
- 自动将敏感度标签应用于与策略的文件筛选器相匹配的文件。 使用此选项可保护敏感文件的下载。
有关详细信息,请参阅创建 Microsoft Defender for Cloud Apps 会话策略。
阶段 4:监视数据并生成报告
策略已全部准备就绪,可用于检查和保护数据。 现在你要每天检查仪表板,查看触发了哪些新警报。 此应用有助于随时观察云环境的健康状况。 仪表板有助于你了解目前的情况,并在必要时发起调查。
监视敏感文件事件最有效的一种方法是前往策略页,查看已配置的匹配策略。 此外,如果配置了警报,则还应考虑定期监视文件警报,方法是前往“警报”页,将类别指定为 DLP,并查看正在触发哪些与文件相关的策略。 查看这些事件有助于你微调策略,重点关注组织感到担忧的威胁。
最后,通过这种方式管理敏感信息,可以确保已保存到云端的数据能够受到最大程度保护,防止恶意数据外泄和渗透。 此外,如果文件共享或丢失,只有授权用户才能访问该文件。
另请参阅
如果遇到任何问题,我们随时提供帮助。 要获取产品问题的帮助或支持,请开立支持票证。